Настройка XHTTP-CDN и TCP-REALITY-VISION на одном VPS.

[netsentinel]

В данном материале будет рассмотрен пример сосуществования XHTTP-VLESS-TLS-over-CDN и TCP-VLESS-REALITY-VISION на одном VPS. В случае с CDN будет устанавливаться маскировочный вебсайт, для прямого доступа - reality. Таким образом, мы получаем два совершенно разных способа обхода блокировок на одном VPS. Пример составлен так, что на самом сервере не требуется практически ничего, кроме прописывания docker compose up. Для работы данной конфигурации вам потребуется домен, который через cloudflare (далее - CF) указывает на ваш сервер, также требуется включить gRPC в настройках CF. В качестве маскировки для примера я буду применять filebrowser. Ниже представлена схема получаемого результата.

Для начала рассмотрим compose.yml. В конце я предоставлю полный код, здесь же удалены некоторые части.

services: 
  
  cloak:
    image: filebrowser/filebrowser

  xray:
    image: ghcr.io/xtls/xray-core
    volumes:
      - ./config.jsonc:/etc/xray/config.json

  nginx:
    image: nginx
    ports:
      - 443:443
    volumes:
      - ./selfsigned.crt:/etc/nginx/selfsigned.crt
      - ./selfsigned.key:/etc/nginx/selfsigned.key
      - ./nginx.conf:/etc/nginx/nginx.conf
      - ./nginx.tls.conf:/etc/nginx/nginx.tls.conf
      - ./nginx.cdn.conf:/etc/nginx/nginx.cdn.conf
      - ./containers/nginx/logs/:/etc/nginx/logs/

Теперь рассмотрим конфиг NGINX. Решение о том, откуда идет трафик, принимается на основании IP - они заранее известны для CF и прочих CDN. Поэтому создаётся файл с их перечнем - nginx.cdn.conf.

geo $remote_addr $is_cdn {
  default            0;

  # cloudflare ip4
  173.245.48.0/20    1;
  103.21.244.0/22    1;
  ...
}

Переходим к основному конфигу. Поскольку vision порождает нечитаемый http трафик, мы не можем просто иметь http блок. Решение о роутинге принимается по IP в stream блоке, т.е. имея обычный TCP-поток.

stream {
  include nginx.cdn.conf;
  map $is_cdn $dest {
    0 127.0.0.1:444; # tcp-vless-reality-vision direct
    1 127.0.0.1:445; # xhttp-vless over cdn with cloak
  }

  # this workaround is needed since you can't use xray/nginx hosts in map directly
  server { listen 443; proxy_pass $dest; }
  server { listen 444; proxy_pass xray:888; }
  server { listen 445; proxy_pass nginx:8443; }
}

http {
  include nginx.tls.conf;

  server {
    http2 on;
    listen 8443 ssl;
    server_name your.domain.org; # OVERRIDE THIS

    # secret xhttp path
    location /qhq8AVkC3dOafYDz {
      client_max_body_size 0;
      grpc_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      grpc_pass grpc://xray:777;
    }

    location / {
      proxy_pass http://cloak:80;
    }
  }
}

Теперь конфиг xray. Тут, в целом, всё достаточно просто.

{
  "log": { "error": "/var/log/xray/error.log", "loglevel": "debug" },
  "dns": { "servers": [ "https://208.67.222.222/dns-query" ] },
  "routing": {
    "domainStrategy": "IPOnDemand",
    "rules": [
      {
        "inboundTag": [ "xhttp-cdn-tls", "tcp-vless-reality-vision" ],
        "outboundTag": "block",
        "protocol": [ "bittorrent" ]
      },
      {
        "inboundTag": [ "xhttp-cdn-tls", "tcp-vless-reality-vision" ],
        "outboundTag": "block",
        "domain": [ "regexp:.*\\.(ru|рф|by|kz|ir|cn)$" ]
      },
      {
        "inboundTag": [ "xhttp-cdn-tls", "tcp-vless-reality-vision" ],
        "outboundTag": "block",
        "ip": [ "geoip:ru", "geoip:by", "geoip:kz", "geoip:ir", "geoip:cn" ]
      },
      {
        "inboundTag": [ "xhttp-cdn-tls", "tcp-vless-reality-vision" ],
        "outboundTag": "direct"
      }
    ]
  },
  "outbounds": [
    { "tag": "direct", "protocol": "freedom" },
    { "tag": "block", "protocol": "blackhole" }
  ],
  "inbounds": [
    {
      "tag": "xhttp-cdn-tls",
      "listen": "0.0.0.0",
      "port": 777,
      "protocol": "vless",
      "settings": {
        "decryption": "none",
        "clients": [
          // cat /proc/sys/kernel/random/uuid
          { "id": "0358ea85-e758-4139-bddb-98d05265cf4d" }
        ]
      },
      "streamSettings": {
        "network": "xhttp",
        "xhttpSettings": {
          "mode": "stream-up",
          // tr -dc 'A-Za-z0-9' < /dev/urandom | head -c 16; echo
          "path": "qhq8AVkC3dOafYDz"
        },
        "sniffing": { "enabled": true, "routeOnly": true, "destOverride": [ "quic", "http", "tls" ] }
      }
    },
    {
      "tag": "tcp-vless-reality-vision",
      "listen": "0.0.0.0",
      "port": 888,
      "protocol": "vless",
      "settings": {
        "decryption": "none",
        "clients": [
          { "flow": "xtls-rprx-vision", "id": "0358ea85-e758-4139-bddb-98d05265cf4d" }
        ]
      },
      "streamSettings": {
        "network": "raw",
        "security": "reality",
        "realitySettings": {
          "dest": "ign.com:443",
          "serverNames": [ "ign.com" ],
          // xray x25519
          // Private key: cPYRncL2nCQXkQNJhGDOazSmOlba_c3TC7L-GDegFTE
          // Public key: 3L7mhmQDgrGxL66Hnoclafw23GXw9noj7wSRwoZYal8
          "privateKey": "cPYRncL2nCQXkQNJhGDOazSmOlba_c3TC7L-GDegFTE",
          // openssl rand -hex 8
          "shortIds": [ "", "da1a33ae949fc0c6" ]
        },
        "sniffing": { "enabled": true, "routeOnly": true, "destOverride": [ "quic", "http", "tls" ] }
      }
    }
  ]
}

Полный код примера можно найти здесь. Ещё раз, всё что вам нужно: сделать домен, который смотрит на ваш сервер; установить его на CF и включить gRPC в панели; клонировать упомянутый репозиторий, переопределить домен в nginx.conf и поднять контейнеры.

P.S. Вы можете использовать nerdctl вместо докера - команду nerdctl compose up в директории с compose.yml, для этого установите его:

apt -y update && apt -y install curl iptables && curl -L -o nerdctl.tar.gz \
https://github.com/containerd/nerdctl/releases/download/v2.0.2/nerdctl-full-2.0.2-linux-amd64.tar.gz \
&& tar Cxzvvf /usr/local nerdctl.tar.gz && rm nerdctl.tar.gz && systemctl enable --now containerd

[iopq]

Почему просто не изпользовать два домена? Для своих целей достаточно какой-нибудь бесплатный субдомен

[netsentinel]

Как минимум по sni могут отвалить бесплатные поддомены. Их основные домены известны, как я понимаю. И очевидно, что там хостится либо всякий ширп, либо прокси. Правда, в таком случае потребуется отвалить ещё и все запросы без sni, т.к. в принципе можно настроить nginx на работу без server_name. В любом случае, я попросту не вижу смысла ограничиваться работой только через домен, когда можно иметь и домен и reality с sni на популярный сайт вот таким способом.

[iopq]

Как минимум по sni могут отвалить бесплатные поддомены. Их основные домены известны, как я понимаю. И очевидно, что там хостится либо всякий ширп, либо прокси. Правда, в таком случае потребуется отвалить ещё и все запросы без sni, т.к. в принципе можно настроить nginx на работу без server_name. В любом случае, я попросту не вижу смысла ограничиваться работой только через домен, когда можно иметь и домен и reality с sni на популярный сайт вот таким способом.

Я имею ввиду такой способ:

https://habr.com/ru/articles/761798/

когда идем на домен yahoo.com сразу переводиться на reality потому что это не наш домен
а свой домен через CDN

[resetsa]

А можно пример конфига клиента?

[mosx1]

ребята, есть примеры готовой настройки?

[surraulistic]

Сгенерировал в Claude специально гайд для неопытных.
xray-guide.md

Настройка XHTTP-CDN + TCP-REALITY-VISION на VDS

Что получим

Два независимых способа обхода блокировок на одном сервере:

Способ	Как работает	Когда использовать
REALITY	Прямое подключение к VDS	Быстрее, основной способ
XHTTP через CDN	Трафик через Cloudflare	Резерв, если заблокируют IP

---

Требования

• VDS с Ubuntu 22.04+
• Домен в Cloudflare (для XHTTP)
• Клиент: Shadowrocket, Streisand, Happ, v2rayN, Hiddify, Nekoray, Furious (Windows)

---

Часть 1: Подготовка сервера

1.1 Подключение к серверу

ssh root@IP_ВАШЕГО_VDS

1.2 Установка Docker

ф

curl -fsSL https://get.docker.com | sh
docker --version

1.3 Клонирование репозитория

cd ~
git clone https://github.com/netsentinel/xray_xhttp-cdn_with_tcp-reality_example.git
cd xray_xhttp-cdn_with_tcp-reality_example

---

Часть 2: Генерация ключей

2.1 UUID (идентификатор клиента)

cat /proc/sys/kernel/random/uuid

Пример: a1b2c3d4-e5f6-7890-abcd-ef1234567890

2.2 Ключи REALITY

docker run --rm ghcr.io/xtls/xray-core x25519

Результат:

PrivateKey: xxx  ← для сервера
PublicKey: yyy   ← для клиента

2.3 Short ID

openssl rand -hex 8

Пример: da1a33ae949fc0c6

2.4 Секретный path для XHTTP

tr -dc 'A-Za-z0-9' < /dev/urandom | head -c 16; echo

Пример: qhq8AVkC3dOafYDz

---

Часть 3: Настройка конфигов

3.1 Конфиг Xray (config.jsonc)

nano config.jsonc

Вставьте (замените значения на свои):

{
  "log": {
    "error": "/var/log/xray/error.log",
    "loglevel": "warning"
  },
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      {
        "type": "field",
        "protocol": ["bittorrent"],
        "outboundTag": "block"
      }
    ]
  },
  "outbounds": [
    { "protocol": "freedom", "tag": "direct" },
    { "protocol": "blackhole", "tag": "block" }
  ],
  "inbounds": [
    {
      "tag": "xhttp-cdn-tls",
      "listen": "0.0.0.0",
      "port": 777,
      "protocol": "vless",
      "settings": {
        "decryption": "none",
        "clients": [
          { "id": "ВАШ_UUID" }
        ]
      },
      "streamSettings": {
        "network": "xhttp",
        "xhttpSettings": {
          "mode": "stream-up",
          "path": "ВАШ_PATH"
        }
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls", "quic"]
      }
    },
    {
      "tag": "tcp-vless-reality-vision",
      "listen": "0.0.0.0",
      "port": 888,
      "protocol": "vless",
      "settings": {
        "decryption": "none",
        "clients": [
          {
            "id": "ВАШ_UUID",
            "flow": "xtls-rprx-vision"
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "dest": "ВАШ_SNI:443",
          "serverNames": ["ВАШ_SNI"],
          "privateKey": "ВАШ_PRIVATE_KEY",
          "shortIds": ["", "ВАШ_SHORT_ID"]
        }
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls", "quic"]
      }
    }
  ]
}

Замените:

• ВАШ_UUID — из шага 2.1
• ВАШ_PATH — из шага 2.4
• ВАШ_PRIVATE_KEY — PrivateKey из шага 2.2
• ВАШ_SHORT_ID — из шага 2.3
• ВАШ_SNI — популярный сайт для маскировки (например: ikea.nl, amsterdam.nl, www.microsoft.com)

3.2 Конфиг Nginx (nginx.conf)

nano nginx.conf

Найдите и замените:

server_name your.domain.org;

На ваш домен:

server_name ваш-домен.xyz;

И path:

location /qhq8AVkC3dOafYDz {

На ваш path:

location /ВАШ_PATH {

3.3 Смена порта (опционально)

По умолчанию порт 443. Для смены на кастомный (например 22537):

В nginx.conf:

server { listen 22537; proxy_pass $dest; }

В compose.yml:

ports:
  - 22537:22537

Фаервол:

ufw allow 22537/tcp

---

Часть 4: Запуск

4.1 Права на папки

chmod -R 777 containers/

4.2 Запуск контейнеров

docker compose up -d

4.3 Проверка

docker compose ps

Все контейнеры должны быть в статусе Up.

---

Часть 5: Настройка Cloudflare (для XHTTP)

1. Добавьте домен в Cloudflare
2. Создайте A-запись с IP вашего VDS
3. Включите оранжевое облако (проксирование)
4. Network → включите gRPC
5. SSL/TLS → режим Full или Full (strict)

---

Часть 6: Настройка клиента

REALITY (основной)

VLESS URL:

vless://ВАШ_UUID@IP_VDS:ПОРТ?encryption=none&flow=xtls-rprx-vision&security=reality&sni=ВАШ_SNI&fp=chrome&pbk=ВАШ_PUBLIC_KEY&sid=ВАШ_SHORT_ID&type=tcp#REALITY

Пример:

vless://[email protected]:22537?encryption=none&flow=xtls-rprx-vision&security=reality&sni=ikea.nl&fp=chrome&pbk=3L7mhmQDgrGxL66Hnoclafw23GXw9noj7wSRwoZYal8&sid=da1a33ae949fc0c6&type=tcp#REALITY-NL

XHTTP через CDN (резервный)

VLESS URL:

vless://ВАШ_UUID@ваш-домен.xyz:ПОРТ?encryption=none&security=tls&sni=ваш-домен.xyz&type=xhttp&path=ВАШ_PATH&mode=stream-up#XHTTP-CDN

---

Часть 7: Настройка в Shadowrocket

REALITY

Поле	Значение
Type	VLESS
Address	IP вашего VDS
Port	22537 (или ваш порт)
UUID	ваш UUID
Transport	none (TCP)
TLS	On
SNI	ikea.nl (или ваш SNI)
XTLS	xtls-rprx-vision
Public Key	ваш PublicKey
Short ID	ваш ShortID

XHTTP

Поле	Значение
Type	VLESS
Address	ваш-домен.xyz
Port	22537 (или ваш порт)
UUID	ваш UUID
Transport	xhttp
Mode	stream-up
Path	ваш PATH
TLS	On
SNI	ваш-домен.xyz

---

Часть 8: Проверка работы

1. Подключитесь через клиент
2. Откройте https://2ip.ru
3. Должен показать IP вашего VDS (для REALITY) или IP Cloudflare (для XHTTP)

---

Устранение проблем

Контейнеры не запускаются

docker compose logs nginx
docker compose logs xray

Нет подключения

1. Проверьте открыт ли порт: ufw status
2. Проверьте слушает ли порт: ss -tlnp | grep ПОРТ
3. Проверьте логи xray: docker compose logs xray

Медленная работа

Уберите DNS over HTTPS из конфига — используйте системный DNS.

---

Схема работы

REALITY (напрямую):
Клиент → VDS:22537 → nginx → xray:888 → Интернет

XHTTP (через CDN):
Клиент → Cloudflare → VDS:22537 → nginx → xray:777 → Интернет

Nginx определяет по IP источника: если Cloudflare → XHTTP, иначе → REALITY.